典型案例
案例一:某公司擅自在微信公众号中发布顾客名单
某公司擅自将顾客名单发布在其管理的微信公众号中,并提供电子版下载。这份名单涉及10979名消费者的住址、电话、姓名、身份证号等个人信息,几天内文章阅读数达5225次,并被转载198次。该地消委会向该地人民法院提起了消费民事公益诉讼,此案开庭审理中该地人民检察院到庭支持起诉。
这次事件不仅侵害众多公民的个人信息权益,也造成社会公众对个人信息保护的担忧,给市场交易环境、居民日常人际交往和正常生活造成负面影响。即将于11月1日施行的《中华人民共和国个人信息保护法》第七十条也明确规定,个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。
案例二:快递单泄露公民个人信息
某地多家快递企业的快递单未对用户个人信息采取隐匿化等有效保护措施,直接显示客户姓名、电话号码等个人信息,存在泄露公民个人信息重大隐患。
快递管理系统和运单存储大量公民个人信息,容易被不法分子获取、利用,危及公民人身、财产安全,侵害社会公共利益。该市人民检察院对市邮政局发出诉前检察建议,建议其依法全面履行快递市场安全监督管理职责,督促快递企业采取有效手段保护用户信息安全。
案例三:健身中心违规进行“人脸采集”
某健身中心在收集会员个人信息时没有主动告知收集、使用信息的目的、方式和范围,对个人信息的处理及保存没有按照规定采用加密等技术措施处置,受到行政处罚。
《网络安全法》第四十一条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意;第四十二条第二项规定,网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。
案例四:某数据中心未履行违法信息处置义务
某数据中心疏于内部人员安全管理,未采取相关技术保护措施,在提供云主机租赁服务过程中,个别服务器多次为境外违法网站提供网络跳转服务,导致境外违法网站跳转接入,出现大量赌博、色情等违法信息,且未及时发现、处置、上报。执法部门依法对其进行了处罚。
《网络安全法》第四十七条规定,网络运营者应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。
案例五:微信公众号运营者非法获取公民个人信息
某文化传媒有限公司为达到增加微信公众号关注网民数量的目的,假借公交地铁运营单位名义,采取虚构该地公交地铁卡免费领取活动的方式,吸引网民关注其运营的数个微信公众号,要求参与者填写姓名、联系方式、住址等,非法获取大量公民个人信息用于公司运营分析,受到行政处罚。
《网络安全法》第四十四条规定,任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
案例六:某网络公司未留存用户登录日志
某网络公司自《网络安全法》正式实施以来,在提供互联网数据中心服务时,未依法留存用户登录相关网络日志,受到行政处罚。
《网络安全法》第二十一条(三)项规定,网络运营者应采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。网络日志留存是公安机关依法追查网络违法犯罪的重要基础和保证,能够准确、及时查询到不法分子的互联网日志,可为下一步循线追踪,查获不法分子打下坚实基础。也正因如此,《网络安全法》严格规范了网络运营者记录并留存网络日志的法定义务。同时,遵守“日志留存”的相关规定,对网站运营者本身也有着极其重要的安全防护作用,不仅能够留存历史数据,更为未来可能发生的安全威胁消除了隐患。
案例七:一网站未落实等保要求 因高危漏洞遭入侵
某网站自上线运行以来,始终未进行网络安全等级保护定级备案、等级测评等工作。该网站运营单位未落实网络安全等级保护制度,未履行网络安全保护义务,导致网站存在高危漏洞,造成网站发生被黑客攻击入侵的网络安全事件,受到行政处罚。
《网络安全法》第二十一条规定,国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行相关安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。第二十五条规定,网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
案例八:点击邮件链接,进入钓鱼网站 用户支付宝账户信息被盗取
一男子收到自称是“芝麻信用”的邮件,提示花呗有逾期未还清的情况,需要点击某链接在线办理。
点击链接之后,页面跳转到一个支付宝登录页面。该男子按要求填写账户、密码,点击“登录”后,系统提示账户或密码错误。
男子又重新输入一遍账户、密码,成功登录支付宝的业务系统。
以上流程表面上看没有问题,但用户不知其实链接已经被更换为一个伪造的支付宝登录页面。
该男子在首次输入完账号、密码后,不法分子其实已经拿到了他的账号信息。页面弹出“账号或密码错误”也只是对不法分子不法行为做伪装,提示完错误信息后就会跳转到真实的支付宝页面。其后用户做任何操作都是在真实网站进行,也只会认为自己真的只是在第一次登录时把账号密码输入错误了而已。
网络钓鱼是指不法分子通过大量发送声称来自于银行或者其他知名机构的欺骗性垃圾邮件或短信、及时通讯信息等,引诱收信人给出敏感信息(如用户名、口令、账号ID或信用卡详细信息),然后利用这些信息假冒受害人进行欺诈性金融交易,从而获得经济利益。受害者经常遭受重大经济损失或个人信息被窃取并用于犯罪的目的。这里提醒,陌生短信/邮件链接切勿轻易点击,更不要向陌生人透露个人重要信息,有任何疑问都可以拨打96110全国反诈劝阻专线进行咨询举报。
(来源:综合民主与法制时报、高检网、人民网等多家媒体信息整理)